내부 고발 가이드 : 출처를 보호하는 방법

** 이것은 ExpressVPN의 내부 고발 가이드의 3 부입니다. **

1 부 : 휘파람 부는 안내 : 휘파람을 날리는 것은 힘들다
2 부 : 내부 고발 가이드 : 내부 고발을 날릴 때 익명을 유지하는 방법
4 부 : 내부 고발 가이드 : 메타 데이터를 제거해야하는 이유

tl; dr을 원하면?

기자, 규제 기관 또는 감시견은 출처를 보호 할 의무가 있습니다.

특정 부문이나 국가에서 소스에 법적 보호가 부여되는 경우도 있지만 이러한 보호 기능이 가치가 없거나 특정 사례를 다루지 않을 가능성이 있습니다..

이 기사의 정보 보안 조언 외에도 해당 지역에서 내부 고발의 합법성을 배우는 것이 좋습니다. 일부 보호는 특정 상황에서만 존재하며 문서를 전달하거나 문서를 처리하는 방법은 출처의 자유와 고문의 차이를 의미 할 수 있습니다.

소스에 접근 할 수있게하십시오

잠재적 인 소스마다 기술, 법률 및 조직에 대한 이해가 다릅니다. 자신을 열고 가능한 한 손을 뻗을 수 있고 커뮤니케이션이 어떻게 안전한지 소스를 교육하는 것은 귀하의 의무입니다.

SecureDrop

Aaron Swartz와 Kevin Poulson에 의해 개발 된 전 세계 수십 개의 뉴스 조직은 SecureDrop을 민감한 자료의 디지털 사서함으로 사용합니다..

SecureDrop 작동 방식 :

내부 고발자는 Tor 브라우저를 사용하여 문서를 업로드 할 수있는 SecureDrop의 .onion 주소로 이동합니다..

업로드 후 소스는 문서에 대한 회신을 확인하는 데 사용할 수있는 비밀번호를받습니다..

SecureDrop 서버에서 소스 문서를 검색 할 수 있습니다. 파일은 PGP 키로 암호화되므로 사용자 만 열 수 있습니다. 보안을 강화하려면 운영 체제 TAILS가 포함 된 랩톱을 사용하여 문서를 검사하십시오..

SecureDrop은 누출 및 민감한 물질의 수용을위한 금 본위제로 간주되지만 개인을 위해 설정하기 어려울 수 있습니다. 내부 고발자는 업무용 컴퓨터 나 업무용 네트워크에 연결된 컴퓨터에서 Tor 브라우저를 사용하지 말아야한다는 것을 알고 있어야합니다..

• 개인 또는 소규모 조직에 설치하기 어려움
• SecureDrop은 내부 고발자에 대한 기술 지식이 거의 필요하지 않습니다.

OTR 암호화 기능이있는 Jabber / XMPP

Jabber (XMPP라고도 함) 서비스는 일반적이지 않습니다 (Facebook과 Google은보다 집중적이고 덜 안전한 대안을 선호하여 서비스를 중단했습니다). 특히 Tor 네트워크를 통해 라우팅 될 때 익명으로 설정하기가 비교적 쉽습니다 ExpressVPN의 편리한 안내서를 참조하십시오).

OTR 암호화를 사용하여 Tor를 통해 통신하는 새로 생성 된 익명 재버 계정 2 개는 메타 데이터를 통해서도 검색 가능성이 적습니다..

• 널리 사용되지 않고 모바일 장치에서 사용하기 어려움
• 이미지 나 첨부 파일을 제대로 처리 할 수 ​​없습니다
• 모든 메신저 옵션 중에서 가장 낮은 발견 가능성

신호

암호화 된 메시징 앱인 Signal은 Android 및 iOS에서 사용할 수 있으며 최소 메타 데이터 추적과 암호화 된 메시지를 교환 할뿐만 아니라 음성으로 통신 할 수도 있습니다. 정보 보안 커뮤니티에서 신호를 널리 승인.

• 가입하려면 전화 번호가 필요합니다 (좋은 생각이 아닐 수도 있습니다)
• 휴대 기기에서 쉽게 설정하고 암호화 된 음성 통화 허용

우편 주소

모든 우편물은 일반적으로 (외부에서) 사진을 찍고 무게를 측정하며 픽업 지점과 목적지를 기록합니다. 그러나 여전히 익명으로 실제 메일을 보낼 수 있습니다. 우표를 사더라도 카운터에서 의심을 제기하지는 않습니다..

규제 기관 또는 뉴스 조직으로 배송 된 소포가 수취인과 같은 도시의 번잡 한 위치에 게시 된 경우 시청자에게 거의 통찰력을 제공하지 않을 수 있습니다 (내부 고발자는 수작업 봉투에주의해야 함).

문서가 실제 형태로 존재하는 경우, 디지털화하지 않고 직접 배송하는 것이 훨씬 안전 할 수 있습니다. 메일을받는 사람은 잠재적 인 출처를 통해 조직에서 메일을 처리하는 방법을 알려주는 것이 중요합니다. 예를 들어 우편물이 직접 발송되거나 다른 사람이 열었습니까? 또는 누가 무엇을 받는지에 대한 기록을 보관?

• 일부 국가 또는 조직에서 메일이 엄격하게 기록됩니다
• 우편물에 대한 높은 법적 보호가 여전히 존재합니다

전화 및 이메일

이메일과 전화는 대량의 메타 데이터를 가로 채서 생성하기 쉽습니다. PGP가 포함 된 암호화 된 전자 메일은 작동 할 수 있지만 메타 데이터를 가치있게 만들 수 있습니다 (귀하와 내부 고발자가이 메타 데이터를 무가치하게 만들지 않는 한).

출처가 당신을 확인할 수 있는지 확인하십시오

자신을 안전한 수령인으로 제공 할 때는 잠재적 인 정보원이 통신이 사기꾼이 아닌 본인에게서 온 것인지 항상 확인할 수 있는지 확인하십시오.

자신의 사진 보내기

공개적으로 소스를 만나는 경우, 자신이 어떤 모습인지 알고 사기꾼에게 속지 않아야합니다. 회의 전에 안전한 의사 소통을했다면 안전 조치에 코드 단어가 포함될 수 있습니다..

암호화 키 사용

소셜 미디어가 강하거나 조직의 공식 웹 사이트에 호스팅 된 전기가있을 수 있습니다. 프로파일을 사용하여 공개 키를 호스트하고 통신에 사용하는 모든 키의 지문 (신호, OTR, PGP)을 포함하십시오. 공개 기록의 키를 사용하면 계정을 전환해야하기 때문에 새로운 신원을보다 쉽게 ​​확인할 수 있습니다..

소스를 보호하는 방법 TL; DR

• 평판이 좋고 암호화 된 채널에서 사용 가능
• 통신 내용을 쉽게 확인할 수 있도록